Une nouvelle porte dérobée Linux appelée « WolfsBane » a été découverte, qui serait un portage de logiciels malveillants Windows utilisé par le groupe de piratage chinois « Gelsemium ».

Les chercheurs en sécurité d’ESET qui ont analysé WolfsBane rapportent que WolfsBane est un outil malveillant complet doté d’un compte-gouttes, d’un lanceur et d’une porte dérobée, alors qu’il utilise également un rootkit open source modifié pour échapper à la détection.

Les chercheurs ont également découvert « FireWood », un autre malware Linux qui semble lié au malware Windows « Project Wood ».

Cependant, le bois de chauffage est plus probablement un outil partagé utilisé par plusieurs groupes APT chinois plutôt qu’un outil exclusif/privé créé par Gelsemium.

ESET affirme que les deux familles de logiciels malveillants, toutes deux apparues sur VirusTotal au cours de la dernière année, font partie d’une tendance plus large où les groupes APT ciblent de plus en plus les plates-formes Linux en raison du renforcement de la sécurité de Windows.

« La tendance des groupes APT à se concentrer sur les logiciels malveillants Linux devient de plus en plus perceptible. Nous pensons que ce changement est dû aux améliorations apportées à la sécurité des e-mails et des terminaux Windows, telles que l’utilisation généralisée des outils de détection et de réponse des terminaux (EDR) et la décision de Microsoft de désactiver les macros Visual Basic pour Applications (VBA) par défaut. Par conséquent, les auteurs de menaces explorent de nouvelles voies d’attaque, en mettant de plus en plus l’accent sur l’exploitation des vulnérabilités des systèmes connectés à Internet, dont la plupart fonctionnent sous Linux. »

❖ Réseau
Hurlement furtif de WolfsBane
WolfsBane est introduit dans les cibles via un compte-gouttes nommé « cron », qui supprime le composant de lancement déguisé en composant de bureau KDE.

Selon les privilèges avec lesquels il s’exécute, il désactive SELinux, crée des fichiers de service système ou modifie les fichiers de configuration utilisateur pour établir la persistance.

Le lanceur charge le composant malveillant de confidentialité, « udevd », qui charge trois bibliothèques cryptées contenant ses fonctionnalités de base et sa configuration de communication de commande et de contrôle (C2).

Flux d’exécution Wolfsbane

Enfin, une version modifiée du rootkit de l’espace utilisateur BEURK est chargée via ‘/ etc / ld. so. preload ‘ pour un accrochage à l’échelle du système afin de masquer les processus, les fichiers et le trafic réseau liés aux activités de WolfsBane.

« Le rootkit Wolfsbane Hider accroche de nombreuses fonctions de base de la bibliothèque C standard telles que open, stat, readdir et access », explique ESET.

« Bien que ces fonctions accrochées invoquent celles d’origine, elles filtrent tous les résultats liés au malware WolfsBane. »

L’opération principale de WolfsBane est d’exécuter les commandes reçues du serveur C2 à l’aide de mappages commandes-fonctions prédéfinis, qui est le même mécanisme que celui utilisé dans son homologue Windows.

Ces commandes incluent les opérations sur les fichiers, l’exfiltration des données et la manipulation du système, donnant à Gelsemium un contrôle total sur les systèmes compromis.

Noms de commandes sur Linux (à gauche) et portes dérobées Windows (à droite)

Aperçu du bois de chauffage
Bien que vaguement lié à Gelsemium, FireWood est une autre porte dérobée Linux qui pourrait permettre des campagnes d’espionnage polyvalentes et à long terme.

Ses capacités d’exécution de commandes permettent aux opérateurs d’effectuer des opérations sur des fichiers, l’exécution de commandes shell, le chargement/déchargement de bibliothèques et l’exfiltration de données.

ESET a identifié un fichier nommé ‘usb dev.ko, ‘ qui est soupçonné de fonctionner comme un rootkit au niveau du noyau, fournissant au bois de chauffage la possibilité de masquer les processus.

Le malware définit sa persistance sur l’hôte en créant un fichier de démarrage automatique (gnome-control.bureau) dans ‘.config / autostart/, ‘ alors qu’il peut également inclure des commandes dans ce fichier pour les exécuter automatiquement au démarrage du système.

Une liste complète des indicateurs de compromission associés aux deux nouvelles familles de logiciels malveillants Linux et aux dernières campagnes Gelsemium est disponible sur ce référentiel GitHub.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *